為什么要過等級(jí)保護(hù) 等保二三級(jí)怎么過
我們?cè)诎踩缕钒l(fā)布會(huì)上發(fā)布了《等保2.0白皮書》,分享在云計(jì)算環(huán)境下等保條款的解讀和最佳實(shí)踐。
一、什么是等保?
等保是等級(jí)保護(hù)的簡稱,是指對(duì)國家重要信息、法人和其他組織及公民的專有信息以及公開信息和存儲(chǔ)、傳輸、處理這些信息的信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)對(duì)信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級(jí)管理,對(duì)信息系統(tǒng)中發(fā)生的信息安全事件分等級(jí)響應(yīng)、處置。
二、為什么要過等保?
網(wǎng)絡(luò)安全等級(jí)保護(hù)為信息系統(tǒng)、云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)等定級(jí)對(duì)象的網(wǎng)絡(luò)安全建設(shè)和管理提供系統(tǒng)性、針對(duì)性、可行性的指導(dǎo)和服務(wù),幫助用戶提高定級(jí)對(duì)象的安全防護(hù)能力。此外,《網(wǎng)絡(luò)安全法》第二十一條明確規(guī)定“國家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度”。
做好等級(jí)保護(hù)工作除了滿足國家相關(guān)法律法規(guī)要求,還可以降低系統(tǒng)的信息安全風(fēng)險(xiǎn),提升防護(hù)能力。
三、哪些行業(yè)需要過等保?
政府機(jī)關(guān):各大部委、各省級(jí)政府機(jī)關(guān)、各地市級(jí)政府機(jī)關(guān)、各事業(yè)單位等。
金融行業(yè):金融監(jiān)管機(jī)構(gòu)、各大銀行、證券、保險(xiǎn)公司等。
醫(yī)療行業(yè):醫(yī)院、疫病控制中心、計(jì)劃生育機(jī)構(gòu)、醫(yī)療衛(wèi)生研究機(jī)構(gòu)等。
教育行業(yè):高校、職校、普教等。
電信行業(yè):各大電信運(yùn)營商、各省電信公司、各地市電信公司、各類電信服務(wù)商等。
能源行業(yè):電力公司、石油公司等。
企業(yè)單位:大中型企業(yè)、央企、上市公司等。
其他單位:有信息系統(tǒng)定級(jí)需求的行業(yè)與單位。
四、過等保的流程是?
過等保一般依次要經(jīng)過5個(gè)階段,分別是:定級(jí)、備案、安全建設(shè)、等級(jí)測(cè)評(píng)、監(jiān)督檢查。
五、 自主定級(jí)的依據(jù)
六、去哪里備案
省級(jí):省級(jí)單位將定級(jí)備案材料交到省公安網(wǎng)安總隊(duì)進(jìn)行備案。
市級(jí):各地級(jí)市的單位將定級(jí)備案材料交到各自地級(jí)市的網(wǎng)安支隊(duì)進(jìn)行備案。
縣級(jí):先將定級(jí)備案材料交到區(qū)縣網(wǎng)安大隊(duì),再由區(qū)縣網(wǎng)安大隊(duì)轉(zhuǎn)交地級(jí)市網(wǎng)安支隊(duì)進(jìn)行備案。
特殊行業(yè)按所在行業(yè)的要求執(zhí)行備案。
七、要測(cè)評(píng)些什么
測(cè)評(píng)機(jī)構(gòu)依據(jù)國家網(wǎng)絡(luò)安全等級(jí)保護(hù)制度規(guī)定,按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn),對(duì)非涉及國家秘密信息系統(tǒng)、平臺(tái)或基礎(chǔ)信息網(wǎng)絡(luò)等定級(jí)對(duì)象安全等級(jí)保護(hù)狀況進(jìn)行檢測(cè)評(píng)估。測(cè)評(píng)包含技術(shù)和管理2大層面:
技術(shù)層面,包含安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心。
管理層面,包含安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理、安全運(yùn)維管理。
八、多久要測(cè)評(píng)一次
定級(jí)為三級(jí)及以上的系統(tǒng),每年至少開展一次等保測(cè)評(píng);定級(jí)為二級(jí)的系統(tǒng),建議每兩年開展一次。部分行業(yè)按所在行業(yè)的要求落實(shí)測(cè)評(píng)。
九、測(cè)評(píng)整改要求和時(shí)限
系統(tǒng)經(jīng)測(cè)評(píng)未達(dá)到安全保護(hù)要求的,要根據(jù)測(cè)評(píng)報(bào)告中的改進(jìn)建議,制定整改方案并進(jìn)一步整改。建議在當(dāng)年度完成整改。常見的整改項(xiàng)有:
1、送檢單位或送檢系統(tǒng)的安全管理制度不完善或缺失;
2、漏洞補(bǔ)丁類、安全策略調(diào)整類、安全加固類、網(wǎng)絡(luò)結(jié)構(gòu)調(diào)整類等;
3、安全防護(hù)設(shè)備缺失或不完善,要補(bǔ)齊。如云上開啟管控權(quán)限的堡壘機(jī)、使用防止攻擊的Web應(yīng)用防火墻等。
十、等保測(cè)評(píng)結(jié)束后要做什么?
打印測(cè)評(píng)結(jié)果報(bào)告一式四份,測(cè)評(píng)機(jī)構(gòu)一份,送檢系統(tǒng)所在單位兩份,網(wǎng)安一份。等級(jí)保護(hù)是持續(xù)性的工作,監(jiān)管單位會(huì)定期開展監(jiān)督檢查,等保三級(jí)定級(jí)對(duì)象每年都要開展等級(jí)保護(hù)測(cè)評(píng)工作。